fev 8 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Grupos de ransomware exigem pagamentos de resgate mais altos que no ano de 2021.
    As inúmeras operações policiais que levaram às prisões e remoção de operações de ransomware em 2021 forçaram os agentes de ameaças a restringir seu escopo de segmentação e maximizar a eficiência de suas operações. A maioria das notórias gangues de Ransomware continuam suas operações mesmo depois que as autoridades policiais prenderam membros-chave, mas refinaram suas táticas para obter o máximo impacto. De acordo com uma análise publicada pela Coveware, que analisa os dados de negociação de resgate do quarto trimestre de 2021, os grupos de ransomware agora exigem pagamentos de resgate mais altos em vez de aumentar o volume de seus ataques. Em números, o pagamento médio de resgate no quarto trimestre de 2021 atingiu US$ 322.168, o que é 130% maior em comparação ao trimestre anterior. O valor médio do pagamento do resgate foi de US$ 117.116, um aumento de 63% em relação ao terceiro trimestre.
  • Grupo Hacker MuddyWater está comprometendo organizações na Turquia.
    Uma nova campanha foi observada visando instituições governamentais turcas, bem como organizações privadas. Os pesquisadores associaram a campanha ao agente de ameaças Iraniano MuddyWater. O grupo está usando PDFs maliciosos e documentos do Microsoft Office como um vetor inicial de infecção. Os maldocs se disfarçam de documentos genuínos dos Ministérios da Saúde e do Interior da Turquia. Alguns grupos de ameaças relacionadas ao Irã estão operando campanhas maliciosas em todo o mundo, que só cresceram em intensidade e volume. O grupo MuddyWater, em particular, trouxe inovações em suas ferramentas e técnicas de operação.
  • Mais de 40 bilhões de dados foram expostos em 2021.
    Segundo pesquisa da Tenable, mais de 40 bilhões de registros foram expostos mundialmente em 2021. Apenas no Brasil, o número ultrapassa os 815 milhões. O estudo inclui uma visão geral das vias de ataque e das vulnerabilidades preferidas pelos cibercriminosos, além de insights que apoiam organizações a se prepararem para enfrentar os desafios deste novo ano que se inicia. Globalmente, as indústrias mais afetadas por violações de segurança foram saúde(24.7%), educação(12.9%), e governo(10.8%). No Brasil, os segmentos que mais sofreram com incidentes cibernéticos foram, respectivamente, o governo(29.8%) e o setor financeiro(27%). A principal causa de tais violações foram ataques do tipo ransomware. A falta de proteção adequada às bases de dados também foi um fator responsável por grande parte das exposições na região. A análise dos eventos apresentados no relatório mostra que muitas ameaças podem ser rapidamente mitigadas pelo processo que costumamos chamar de higiene cibernética, que é a correção das vulnerabilidades e o tratamento de configurações incorretas de forma prévia para ajudar a limitar os vetores de ataque.
Rubens Zolotujin 0 Comentários
fev 1 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • LockBit Ransomware recebe uma versão Linux.
    LockBit é uma das famílias de ransomware mais prolíficas no cenário de ameaças. E agora, ficou mais perigoso com uma variante focada em Linux e VMware ESXi. Apelidado de LockBit Linux-ESXi Locker versão 1.0, o ransomware foi encontrado anunciado em um fórum na deep web. A nova versão do LockBit implica que ele pode se espalhar mais e criptografar uma variedade de dispositivos e arquivos. Isso, por sua vez, aumentaria a pressão sobre as vítimas para pagar o resgate. Além disso, um servidor ESXi hospeda várias VMs e uma criptografia bem-sucedida indica um grande impacto nas organizações vítimas. A gangue de ransomware alegou ter atacado o Ministério da Justiça da França e roubado milhares de arquivos. Embora os detalhes sejam limitados, o site oficial da LockBit afirma que o Ministério tem 13 dias para pagar o resgate ou os dados vazarão em 10 de fevereiro.
  • Tribunal alemão determina que sites que incorporam fontes do Google violam a GDPR.
    Um tribunal regional da cidade alemã de Munique ordenou que o operador de um site pague € 100 de indenização pela transferência de dados pessoais de um usuário – ou seja, endereço IP – para o Google por meio da biblioteca Fonts sem o consentimento do indivíduo. A divulgação não autorizada do endereço IP pelo site sem nome ao Google, constitui uma violação dos direitos de privacidade do usuário, disse o tribunal, acrescentando que o operador do site poderia teoricamente combinar as informações coletadas com outros dados de terceiros para identificar as pessoas por trás desse tipo de comportamento que violam a leis de proteção de dados. De acordo com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR), pontos de dados como endereços IP, IDs de publicidade e cookies são contados como informações de identificação pessoal (PII), tornando obrigatório para as empresas que operam no país buscar a permissão explícita dos usuários antes processamento de tais informações.
  • Apple paga mais de $100 mil em recompensa por bug em Webcam.
    O pesquisador Ryan Pickren, demonstrou para a Apple como suas webcams podem ser sequestradas usando um bug comum de script (UXSS) do Safari, e recebeu supostamente uma recompensa recorde de US$ 100.500. O bug pode ser usado por um adversário como componente de um ataque para obter acesso total a todos os sites da Internet já visitados pelo alvo. O pesquisador informou que o bug pode resultar em um invasor obtendo acessibilidade abrangente a todo o sistema de arquivos de um dispositivo, explorando os documentos de arquivo web do Safari, que são as informações que o Safari gera como uma alternativa ao HTML quando salva uma página web internamente. Pickren enviou os bugs para a Apple em julho passado. O fabricante do iPhone corrigiu os problemas no início deste mês e, posteriormente, concedeu a recompensa de US$ 100.500 a Pickren.
Rubens Zolotujin 0 Comentários
jan 31 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Prejuízos causados pelos ataques cibernéticos se tornaram a maior preocupação das empresas em 2022.
    2021 foi um ano com milhares de ataques cibernéticos e inúmeras violações de dados, com um aumento de 330% só no Brasil. Destaca-se os ataques com ransonwares, afetando Empresas e órgãos governamentais, gerando prejuízos milionários. Tornou-se urgente que empresas e governos intensifiquem as medidas de segurança cibernética. A maior barreira para isso é a falta de profissionais capacitados, fazendo surgir uma nova tendência de investir na qualificação dos times internos de TI e correlatos em cibersegurança.
  • Cliente da Microsoft é atingido pelo maior ataques de DDoS de todos os tempos.
    A Microsoft diz que mitigou um ataque DDoS que durou aproximadamente 15 minutos contra um de seus clientes do Azure na Ásia. Um cliente Microsoft Azure na Ásia foi vítima de um ataque DDoS de 3,47 Tbps (ataque distribuído de negação de serviço) em novembro de 2021, revelou a gigante de software e tecnologia Microsoft em 25 de janeiro de 2022. O ataque DDoS durou aproximadamente 15 minutos e incluiu uma botnet de mais de 10.000 dispositivos IoT comprometidos de países de todo o mundo. Entre eles, Irã, Índia, China, Rússia, Taiwan, Vietnã, Tailândia, Indonésia, Coreia do Sul e Estados Unidos. Embora não esteja claro quem estava por trás do ataque, ele foi mitigado, mas o invasor empregou métodos diferentes para impulsionar o ataque DDoS. O relatório da Microsoft divulgou ainda que houve um aumento nos ataques DDoS com os Estados Unidos e a Índia sendo os principais alvos. A empresa observou que Hong Kong também se tornou um ponto de acesso popular para invasores, no entanto, houve uma diminuição na atividade de DDoS na Europa.
  • Hackers norte-coreanos retornam com variante furtiva do malware KONNI RAT.
    Um grupo de ciberespionagem da Coreia do Norte ressurgiu com uma variante mais furtiva de seu trojan de acesso remoto chamado Konni para atacar instituições políticas localizadas na Rússia e na Coreia do Sul. O objetivo dos autores é quebrar o fluxo típico registrado por sandboxes e dificultar a detecção, especialmente por meio de assinaturas regulares, pois partes críticas do executável agora são criptografadas. As invasões mais recentes encenadas pelo grupo, envolveram o Ministério das Relações Exteriores (MID) da Federação Russa com iscas para comprometer os sistemas Windows através do malware. As infecções, assim como outros ataques desse tipo, começam com um documento malicioso do Microsoft Office que, quando aberto, inicia um processo de vários estágios que envolve várias partes móveis que ajudam os invasores a elevar privilégios, evitar a detecção e, finalmente, implantar o Konni RAT carga útil em sistemas comprometidos.
Rubens Zolotujin 0 Comentários
jan 27 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão usando o telegram como alternativa viável para a Deep Web.
    O amplamente popular Telegram tornou-se uma alternativa viável para fóruns secretos na dark web. Os atores de ameaças estão abusando cada vez mais da plataforma para configurar canais clandestinos para vender detalhes financeiros roubados aos usuários. Além de vender cartões de crédito comprometidos, a plataforma de mensagens também é um canal de distribuição de malware. Na primeira semana de janeiro, pesquisadores identificaram um instalador malicioso do Telegram para Desktop que foi usado para propagar o malware Purple Fox. Além disso, os agentes de ameaças foram encontrados operando malware por meio de um serviço do Telegram usado para roubar um monte de credenciais de navegadores, VPN, FTP, cookies, carteira de criptomoedas e muito mais. O cibercrime continua prosperando no Telegram à medida que mais e mais agentes de ameaças escolhem o aplicativo de mensagens criptografadas para atingir seus objetivos maliciosos.
  • Novo grupo de ameaças explora falhas do Zoho em organizações dos EUA.
    Os cibercriminosos estão explorando uma vulnerabilidade crítica recentemente corrigida no ManageEngine ADSelfService Plus da Zoho, que pode permitir a execução remota de código. Anteriormente, a CISA havia alertado sobre os atores de ameaças persistentes avançadas (APT) que exploravam a falha. Os invasores estavam usando ferramentas maliciosas para coletar credenciais e roubar informações confidenciais por meio de um backdoor. A falha explorada, rastreada como CVE-2021-40539 , permite que os criminosos se movam lateralmente pela rede para atividades pós-exploração. Notavelmente, acredita-se que os invasores tenham como alvo 370 servidores Zoho ManageEngine apenas nos EUA. Embora os pesquisadores não tenham conseguido vincular esta campanha a nenhum grupo de ameaças específico com total segurança, foram observadas correlações nas táticas e ferramentas com o Emissary Panda. A Microsoft rastreou separadamente a mesma campanha e a vinculou a uma ameaça emergente chamada DEV-0322 . O DEV-0322 opera na China e explorou anteriormente uma falha de dia zero no SolarWinds Serv-U.
  • Atores de ameaças estão utilizando códigos QR maliciosos para roubar credenciais.
    O FBI informou que cibercriminosos estão utilizando códigos QR maliciosos para roubar informações financeiras e outras credenciais dos alvos. Eles estão usando códigos QR para redirecionar usuários para sites maliciosos que roubam suas informações, desviam seus pagamentos para contas controladas por invasores e instalam malware em seus dispositivos. Este aviso é um entre as longas séries de avisos divulgados por agências e pesquisadores de segurança cibernética sobre a ameaça representada pelos códigos QR.
Rubens Zolotujin 0 Comentários
jan 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Malware Bancário BRATA foi atualizado com novos recursos.
    O Malware Android foi atualizado com novos recursos que lhe concedem a capacidade de rastrear a localização dos dispositivos e até mesmo realizar uma redefinição de fábrica em uma aparente tentativa de encobrir transferências eletrônicas fraudulentas. As variantes mais recentes, detectadas no final do ano passado, são distribuídas por meio de um downloader para evitar serem detectadas por software de segurança. Os alvos incluem bancos e instituições financeiras no Reino Unido, Polônia, Itália e América Latina. O BRATA inicialmente visava usuários no Brasil e depois evoluiu rapidamente para um trojan bancário repleto de recursos. Desde então, o malware recebeu inúmeras atualizações e alterações, além de se apresentar como aplicativos de varredura de segurança para evitar a detecção. As últimas amostras detectadas, visam diferentes países e constituem um aplicativo de segurança apelidado de “iSecurity “, que permanece indetectado por praticamente todos os mecanismos de verificação de malware e é usado para baixar e executar o software malicioso real.
  • Cibercriminosos estão criando tokens de criptomoedas fraudulentos para aplicar golpes.
    As configurações incorretas em contratos inteligentes estão sendo exploradas por golpistas para criar tokens de criptomoeda maliciosos com o objetivo de roubar fundos de usuários desavisados. Contratos inteligentes são programas armazenados no blockchain que são executados automaticamente quando condições predeterminadas são atendidas de acordo com os termos de um contrato ou acordo. Eles permitem que transações e acordos confiáveis sejam realizados entre partes anônimas sem a necessidade de uma autoridade central. Ao examinar o código-fonte do Solidity usado para implementar contratos inteligentes, foi encontrado instâncias de taxas ocultas e codificadas que não podem ser alteradas, permitindo que atores mal-intencionados exerçam controle sobre “quem tem permissão para vender”.
  • CISA adiciona 17 vulnerabilidades à lista de bugs explorados em ataques.
    Esta semana, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou dezessete vulnerabilidades exploradas ativamente ao catálogo de vulnerabilidades exploradas conhecidas. O catálogo é uma lista de vulnerabilidades que foram vistas como abusadas por agentes de ameaças em ataques e que precisam ser corrigidas por orgãos do poder executivo federal. A Diretiva Operacional exige que as agências do FCEB corrijam as vulnerabilidades identificadas até a data de vencimento para proteger os sistemas contra ameaças ativas. As vulnerabilidades listadas no catálogo permitem que os agentes de ameaças executem uma variedade de ataques, incluindo roubo de credenciais, acesso a redes, execução remota de comandos, download e execução de malware ou roubo de informações de dispositivos.
Rubens Zolotujin 0 Comentários
jan 24 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos devolvem R$ 4.3 milhões em criptomoedas roubadas.
    Na última semana uma plataforma para swap de criptomoedas, foi hackeada e milhões foram roubados, agora o caso, que já estava chamando bastante atenção, ganhou um novo capítulo interessante, com o hacker devolvendo 80% do valor que foi roubado. O hacker postou uma mensagem na blockchain Ethereum pedindo para que as vítimas enviassem para ele detalhes de suas carteiras para fazer a devolução. O hacker, seja um indivíduo ou um grupo, também mandou uma mensagem peculiar “Eu vou devolver 80%. O resto é gorjeta por eu ter salvo o dinheiro de vocês.” A história do roubo das criptomoedas na Multichain é bem curiosa: A plataforma identificou diferentes contratos que estavam vulneráveis a ataques, mas ela tornou essa informação pública. Em seu blog oficial a Multichain anunciou que os usuários deveriam remover aprovação de contratos de seis tokens que estavam vulneráveis a hackers. Mas o anúncio apenas serviu para dar uma grande dica para os hackers dessa vulnerabilidade, basicamente entregando a chave de seus “cofres” para os ladrões.
  • Vazamento de dados ultrapassaram 40 bilhões em 2021.
    De acordo com uma pesquisa da Tenable, pelo menos 40 bilhões de registros foram expostos em todo o mundo em 2021, calculados pela análise de 1.825 incidentes de violação de dados divulgados publicamente entre novembro de 2020 e outubro de 2021. Esse é um aumento considerável em relação ao mesmo período de 2020, que registrou 730 eventos divulgados publicamente com pouco mais de 22 bilhões de registros expostos. Ao entender o comportamento dos agentes de ameaças, as organizações podem priorizar efetivamente os esforços de segurança para interromper os caminhos de ataque e proteger sistemas e ativos críticos. A análise dos eventos deste relatório descobriu que muitos são prontamente mitigados por meio da correção de vulnerabilidades e do tratamento de configurações incorretas para ajudar a limitar os caminhos e rotas de ataque.
  • Cibercriminosos estão visando corretoras de criptomoedas e projetos DeFi.
    Somente em 2021, houveram mais de 20 ataques nos quais os cibercriminosos tiraram mais de 10 milhões de dólares em protocolos blockchain. Desses, seis roubaram quantias superiores a US$ 100 milhões. A vulnerabilidade desses aplicativos é grande. Isso porque eles têm o código aberto e exposto nas blockchains, podem ser criados e disponibilizados por quaisquer desenvolvedores e startups e fazem parte de uma categoria tecnológica nova, que ainda está amadurecendo e sendo testada. O valor total perdido em 2021, foi em torno de US$ 11 bilhões.
Rubens Zolotujin 0 Comentários
jan 21 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google paga mais de US$ 100.000 por vulnerabilidades corrigidas com atualização do Chrome 97.
    O Google anunciou esta semana o lançamento de 26 patches de segurança como parte de sua última atualização do Chrome, incluindo um para um bug de gravidade crítica. Um total de 22 vulnerabilidades abordadas com a atualização mais recente do Chrome foram relatadas por pesquisadores externos, incluindo um de gravidade crítica, 16 de alta gravidade e cinco de gravidade média. As vulnerabilidades de alta gravidade restantes incluem bugs de uso após liberação, problemas de implementação inadequada, e estouro de buffer no heap. O Google diz que pagou US$ 108.000 em recompensas de bugs aos pesquisadores até o momento, mas a gigante da Internet ainda precisa determinar os valores das recompensas para nove das vulnerabilidades corrigidas. A versão mais recente do Chrome está sendo lançada para usuários de desktop (Windows, macOS e Linux) como versão 97.0.4692.99.
  • Microsoft vê ataques ao Log4j explorando o bug do SolarWinds Serv-U.
    A SolarWinds corrigiu um bug do Serv-U que os agentes de ameaças estavam explorando para desencadear ataques Log4j nos dispositivos internos de redes. A vulnerabilidade, rastreada como CVE-2021-35247 , é uma falha de validação de entrada que pode permitir que invasores criem uma consulta, e enviem essa consulta pela rede sem saneamento, disse o Centro de Inteligência de Ameaças da Microsoft (MSTIC). O bug, descoberto por Jonathan Bar Or da Microsoft, afeta as versões 15.2.5 e anteriores do Serv-U. A tela de login do Serv-U para autenticação LDAP estava permitindo caracteres que não foram suficientemente filtrados, disse a SolarWinds em seu comunicado, acrescentando que atualizou o mecanismo de entrada para realizar validação e filtros adicionais.
  • Bug generalizado do Apple Safari expõe dados de navegação na Web e IDs do Google.
    O problema de divulgação de informações, que afeta Macs, iPhones e iPads, permite que um site de espionagem descubra informações sobre outras guias que um usuário possa ter aberto. Uma vulnerabilidade de segurança nos navegadores da Apple para macOS, iOS e iPadOS pode levar à divulgação de informações. A Apple acabou de marcar o problema como “resolvido”, mas levará algum tempo para que as correções sejam lançadas. De acordo com pesquisadores da FingerprintJS, o bug é uma violação da política de mesma origem. Normalmente, um navegador da Web permite que scripts em uma página da Web acessem dados em uma segunda página da Web somente se ambas as páginas tiverem o mesmo servidor de origem/back-end. Sem essa política de segurança, um criminoso poderia conseguir injetar um script malicioso em um site e ter acesso a quaisquer dados contidos em outras guias que a vítima possa ter aberto no navegador, incluindo acesso a sessões bancárias online, e-mails, dados do portal de saúde e outras informações confidenciais.
Rubens Zolotujin 0 Comentários